我正在关注这个链接https://technet.microsoft.com/en-us/library/dd379509(v=ws.10).aspx ,它解释了如何使用Restore-ADObject还原Active Directory用户。 我在Windows PowerShell的Active Directory模块中使用以下命令: Get-ADObject -Filter {displayName -eq "Smith, Steven"} -IncludeDeletedObjects | Restore-ADObject 我已经确认删除的用户显示名称是Smith,Steven,但是,该用户不会出现在Active Directory中,即使按照build议运行该命令时没有报告错误。 请有人指出我正确的方向如何让这个用户恢复?
我接pipe了由另一个系统pipe理员设置的Windows 2008域的支持。 该域名的DNS名称是admin.example.com,一个网站也使用相同的DNS名称。 设置域的系统pipe理员从不将其放入公司DNS服务器。 如果他们使用AD DNS,我们的Windows域客户端工作正常。 我们已经好几年没有问题了。 现在我想和主要的公司ADbuild立一个信任关系,但是我担心这样做是行不通的,因为公司的AD会因为一个web服务器admin.example.com而混乱。 不幸的是,我无法replaceAD的admin.example.com DNSlogging。 网站所有者并没有放弃。 任何人有任何build议,如何得到这个工作,而不做一些太黑客。 很明显,企业AD可以添加admin.example.com的DNSlogging来指向我的域名,但是寻找更优雅的解决scheme。 端口转发不起作用的网站(转发端口80/443到网站,所有其他stream量到AD为admin.example.com)。 另一个AD系统pipe理员build议如本文所述设置公司DNS中的DNSlogging: https : //support.microsoft.com/en-us/kb/255913 文章似乎过时了,但它会使admin.example.com独立于网站,理论上允许AD服务器彼此正常工作,新的公司AD信任和AD域客户端将继续工作。 文章build议将以下logging添加到公司绑定DNS: DomainDnsZones.admin.example.com. IN NS dc1.admiin.example.com. DomainDnsZones.admin.example.com. IN NS dc2.admin.example.com. ForestDnsZones.admin.example.com. IN NS dc1.admin.example.com. ForestDnsZones.admin.example.com. IN NS dc2.admin.example.com. _msdcs.admin.example.com. IN NS dc1.admin.example.com. _msdcs.admin.example.com. IN NS dc2.admin.example.com. _sites.admin.example.com. IN NS dc1.admin.example.com. _sites.admin.example.com. IN NS dc2.admin.example.com. _tcp.admin.example.com. IN NS […]
我们有一个全球GPO,通过受限制的组授予本地pipe理员权限给“域用户”。 我被要求通过在他们的计算机上应用安全filter来将本地pipe理员移除给less数用户。 我所尝试的所有方法都不起作用。 你有什么主意吗 ?
我计划从SBS2008迁移到2012 Essentials,将Exchange 2007迁移到Online-Exchange。 我inheritance了这样一个networking结构,由2个网站组成: DataRec网站 – DC02(退役) HeadOffice网站 – DC01(SBS2008)和DC03(VMware) 不幸的是,在我inheritance了这个设置之前,DataRec网站已经在一个月之前退役了,而DC02并没有被降级。 因此,我有一些KCC的问题,我不完全确定其余的域分区的程度。 但用户帐户和大部分(全部)策略似乎已经到位,没有人比较聪明。 事实上,我只是在运行DCDIAG后才捡起来的。 我的问题是,如果我手动删除DC02的所有痕迹(包括站点DataRec),更新DNSlogging,我是否需要创build另一个DC02来取代它? AD现在是否依赖复制方面有3个DC? 或者我可以离开2个DC,然后合理安全地进行移植? 感谢您的任何build议!
我有一个问题,在多站点环境中使用基于Active Directory的LDAP。 基本上我有几个不同的环境(站点),他们每个人都有自己的专用的几个域控制器服务器。 为了保持所有信息的同步,每个域控制器都与其他站点的对话对话。 在每个环境中,我也有几个不同的Linux服务器(Web服务器,应用程序服务器等),为了进行身份validation和授权,他们必须联系专用于其环境的正确的域控制器。 我的问题是,我找不到一种方法来指定这些服务器的configuration如何联系他们“最近的”域控制器。 直到现在,我使用DNS Aloggingdomain.local ,它将每个域控制器都返回到域中; 问题是它也返回域控制器不在正确的站点,因此无法访问。 我想另一种方式是为每个引用正确DC的站点创build一个CNAMElogging。 DC-Site1 CNAME到DC1和DC2 DC-Site2 CNAME到DC3和DC4 DC-Site3 CNAME到DC5和DC6 …. 所以使用loggingDC-SiteX.domain.local我能够联系正确的几个域控制器的网站。 这个解决scheme的问题是,我几乎不能编码到它所属的站点的configuration服务器。 我不喜欢,因为我可能会移动服务器到不同的网站,我不得不记得要更新这个configuration。 通常你如何处理这种情况? 你有这个问题的优雅的解决scheme?
我的公司有一个防火墙。 我的公司没有任何域控制器和Windows服务器设备。 我的老板计划configuration防火墙,让用户在访问公司资源之前用他们的公司证书(AD)进行authentication。 他想构build一个充当域控制器(DC)的Windows服务器(可能是最新版本的操作系统)。 防火墙将通过Kerberos / LDAP / RADIUS协议对DC进行身份validation。 我的老板计划把服务器托pipe在云服务提供商那里。 特区不会放在我的公司。 我可以使用DC的IP地址configuration防火墙吗? 这两个设备是否需要在同一个networking才能工作? 如果不是,我需要VPN连接吗?
我有一个相当令人沮丧的问题涉及Active Directory中的单个用户,其PDC上的login计数失败每10分钟跳至5,并被locking。 现在“神秘”的部分是我无法在DC上find任何审计失败日志条目(所有高级审计策略都已启用)。 我一直在使用Microsoft帐户locking工具来查明问题发生的位置; 错误的密码尝试都发生在单个主要的域控制器上。 在这一点上,我正在失去理智。 任何提示/指针不胜感激。 干杯!
我有一个虚拟机,并设置了AD&TFS 2015。 我已经向AD添加了一个组:“g_buildagents”,我试图将该组添加到包含构build服务帐户(BuildServiceAccounts?)的TFS组中,但是TFS未能从AD中检索到“g_buildagents”组。 任何想法为什么?
我是域名新手…有物理DC。 创build了10个用户。 在其他PC上虚拟化了TS,join了域,一切OK。 DC可以查看和pipe理TS。 …但是我仍然无法允许我的域用户(在DC上创build)通过RDP连接到TS。只有pipe理员可以使用RDP,但是,即使远程桌面用户组成员仍然没有运气,普通用户不能。 我尝试了很多教程,一切都搞砸了,我非常绝望。任何想法? 我尽我所能理解,即使根据类似的post,仍然没有运气….任何想法? 这两个操作系统WS2012
有没有办法列出所有的服务器,一个给定的用户login到整个活动目录? 就像是…: QueryRdpConnections -user BobAdmin 结果…: Server —————- Web001 Web002 Web003 SQL004 SQL007